A Sonae MC, dona das lojas Modelo e dos hipermercados Continente, foi alvo de um ataque informático na madrugada desta quarta-feira. O ataque está a afetar algumas comunicações nos sites comerciais e alguns serviços em loja, mas estão por apurar as eventuais consequências em termos de proteção de dados.
O uso do cartão Continente está indisponível e os dados dos clientes poderão estar comprometidos, admite à Renascença a advogada e especialista em Privacidade e Proteção de Dados Elsa Veloso.
Por causa dos chamados “ransomwares” (pedidos de resgate), os ataques informáticos podem tornar-se um negócio lucrativo. E estão a tornar-se frequentes: todos os dias o FBI e outros sistemas de segurança europeus enviam “alertas e recomendações”, avança a especialista.
A SONAE já confirmou que foi alvo de um ciberataque, mas nada diz sobre a proteção dos dados dos clientes. O que pode estar aqui em causa?
Temos de ver com calma tudo o que se está a passar. A Sonae está a contactar uma série de parceiros que podem ajudar a descobrir exatamente o que se passou, qual a fonte do ataque e qual foi o método utilizado neste ciberataque. O que verificamos é que os sites do grupo não estão a funcionar e existe naturalmente um tema crítico que é o Cartão Continente.
O Cartão Continente é dos maiores cartões nacionais, tem uma base de dados de milhões de pessoas com todos os seus dados de consumo e de pagamento e, portanto, se este cartão for atacado – dependendo da extensão e da capacidade de penetração no cartão – podem estar em causa os dados pessoais. São dados com muita relevância porque têm perfis de compra e dados financeiros que podem ser comprometidos.
Estes ataques têm sido muito recorrentes. Ainda no mês passado tivemos o exemplo da Vodafone. De que forma é que as empresas podem evitar este tipo de ataques? Quais são as medidas de segurança que têm de ser implementadas?
As empresas têm que ter maturidade nos processos de gerir resposta a este tipo de incidentes. O que acontece é que 80% dos ataques são entre o computador e a cadeira, o que significa que são erros humanos – naturalmente, privilégios de acesso, passwords, formas de entrada na organização.
Portanto, é preciso que as empresas tenham uma rede privada virtual (VPN), que é uma forma privilegiada de aceder à informação central. E têm de existir sistemas que permitam a monitorização e a prevenção dos ataques.
Há um trabalho muito grande das empresas neste sentido, de prevenir e instalar processos de segurança de informação. Com o trabalho remoto, muitas destas medidas não foram levadas muito a sério. As pessoas trabalham a partir de casa utilizando a sua rede privada, utilizam computadores quer para fins pessoais quer para fins de trabalho em simultâneo e as palavras-passe não são mudadas com frequência, não são suficientemente fortes e não é cumprido, por exemplo, o ‘multiple-factor authentication’, que significa ter mais do que uma verificação de que aquela pessoa pode efetivamente entrar e tem privilégios de acesso.
Certo é que há sistemas de segurança e medidas que são muitas vezes dispendiosas. É também por isso que as empresas poderão não estar a adotar as medidas de segurança necessárias?
Não necessariamente. Eu julgo que a Sonae, por exemplo, com o nível de responsabilidade que tem e com os resultados que apresentou, não terá problemas de investimento. Este caso da Sonae não será por falta de capacidade financeira para investir em segurança de informação e que invista com empresas que efetivamente a podem ajudar.
Têm sido vários os alertas de advogados de que os números de ataques informáticos em Portugal começam a ser assustadores. É também essa a perceção que tem?
Não só em Portugal, mas em todo o mundo. Nós estamos aqui com os sistemas de alertas ligados. Quer o FBI, quer todo o sistema americano de segurança da informação, quer os sistemas alemães, têm todos os dias enviado alertas e recomendações sobre melhorias de sistemas.
No grupo Lapsus, só um dos elementos já tinha 12,5 milhões de euros na sua conta, devido a 'ransomwares’.
Aquilo que acontece no mercado português é que, às vezes, não levamos a sério as recomendações recebidas e isso é grave. A guerra cibernética é um facto, está a acontecer no mundo inteiro e Portugal não é alheio a tudo isto. Estamos efetivamente no meio de uma guerra cibernética e isto tem de ser claro para todos e temos de proteger a privacidade, a proteção de dados e a segurança de informação. Isto tem de ser levado muito a sério e tem que existir investimento.
E a pandemia, agravou também a situação deixando as empresas mais vulneráveis?
A pandemia é um dos fatores, mas o fator fundamental são os resultados financeiros dos chamados ‘ransomwares’. O que acontece é que normalmente há pedidos de resgate associados aos ataques. A nossa recomendação é que não se pague e os nossos clientes têm conseguido não pagar, porque têm sistemas de recuperação, mas quem não tem estes sistemas não consegue repor toda a informação em tempo útil e vê-se tentado a pagar.
A verdade é que, por exemplo, no grupo Lapsus [que atacou o semanário “Expresso” e a Microsoft] só uma das pessoas já tinha 12,5 milhões de euros na sua conta. Portanto, quando estamos perante um negócio que é muito lucrativo, as empresas têm que se de prevenir para não ser alvos de pedidos de resgate e têm de ser capazes de dizer que não negoceiam e não pagam resgates a estes atacantes.